网络安全解决方案

年4月19日网络安全解决方案文档仅供参考，不当之处，请联系改正。目录目录 11.信息安全概述 4什么是信息安全？ 4为什么需要信息安全 41.1安全理念 51.1.1 系统生命周期与安全生命周期 51.1.2 3S安全体系－以客户价值为中心 61.1.3 关注资产的安全风险 61.1.4 安全统一管理 71.1.5 安全=管理+技术 81.2计算机系统安全问题 81.2.1从计算机系统的发展看安全问题 91.2.2从计算机系统的特点看安全问题 92.物理安全 102.1设备的安全 103.访问控制 143.1访问控制的业务需求 143.2用户访问的管理 153.3用户责任 173.4网络访问控制 183.5操作系统的访问控制 223.6应用系统的访问控制 263.7系统访问和使用的监控 273.8移动操作及远程办公 304.网络与通信安全 324.1网络中面临的威胁 325.系统安全设计方案 435.1系统安全设计原则 435.2建设目标 445.3总体方案 455.4总体设计思想 455.4.1内网设计原则 465.4.2有步骤、分阶段实现安全建设 465.4.3完整的安全生命周期 475.5 网络区域划分与安全隐患 486.0网络安全部署 48保护目标 48威胁来源 48安全策略 496.1防火墙系统 516.2 入侵检测系统 606.2.1 什么是入侵检测系统 606.2.2 如何选择合适的入侵检测系统 616.2.3 IDS的实现方式网络IDS 626.2.4 IDS的实现方式主机IDS 636.2.5 基于网络的入侵检测系统的主要优点有： 646.2.6 入侵检测系统的设计思想 646.2.7 入侵检测产品的选型与推荐 666.3 漏洞扫描系统 706.3.1 漏洞扫描系统产品选型与推荐 716.3.2 漏洞扫描系统的部署方案 736.4 网络信息监控与取证系统 736.4.1 网络信息监控与取证系统产品的选型与推荐 746.4.2 网络信息监控与取证系统的部署方案 776.5 内部安全管理系统（防水墙系统） 786.5.1 内部安全管理系统产品选型与推荐 796.5.2 内部安全管理系统的部署方案 856.6 其它计算机系统安全产品介绍 866.6.1 天镜系—漏洞扫描 866.6.2 数据库审计系统 896.6.3 iGuard网页防篡改系统 936.6.4 防垃圾邮件网关 996.6.5 集中安全管理平台GSMDesktop7.1 1066.6.6 中软运行管理系统2.0R2 1101.信息安全概述什么是信息安全？信息是一家机构的资产，与其它资产一样，应受到保护。信息安全的作用是保护信息不受大范围威胁所干扰，使机构业务能够畅顺，减少损失及提供最大的投资回报和商机。信息能够有多种存在方式，能够写在纸上、储存在电子文档里，也能够用邮递或电子手段发送，能够在电影上放映或者说话中提到。无论信息以何种方式表示、共享和存储，都应当适当地保护起来。因此信息安全的特征是保留信息的如下特性：保密性(confidentiality)：保证信息只让合法用户访问；完整性(integrity)：保障信息及其处理方法的准确性（accuracy）、完全性（completeness）；可用性(availability)：保证合法用户在需要时能够访问到信息及相关资产。实现信息安全要有一套合适的控制（controls），如策略（policies）、惯例(practices)、程序(procedures)、组织的机构(organizationalstructures)和软件功能(softwarefunctions)。这些控制需要被建立以保证机构的安全目标能够最终实现。为什么需要信息安全信息及其支持进程、系统和网络是机构的重要资产。信息的保密性、完整性和可用性对机构保持竞争能力、现金流、利润、守法及商业形象至关重要。但机构及其信息系统和网络也越来越要面对来自四面八方的威胁，如计算机辅助的诈骗、间谍、破坏、火灾及水灾等。损失的来源如计算机病毒、计算机黑客及拒绝服务攻击等手段变得更普遍、大胆和复杂。机构对信息系统及服务的依赖意味着更容易受到攻击。公网和专网的互联以及信息资源的共享增加了访问控制的难度。分布式计算的趋势已经削弱了集中管理的效果。很多信息系统没有设计得很安全。利用技术手段获得的安全是受限制的，因而还应该得到相应管理和程序的支持。选择使用那些安全控制需要事前小心周密计划和对细节的关注。信息安全管理至少需要机构全体员工的参与，同时也应让供应商、客户或股东参与，如果有必要，能够向外界寻求专家的建议。对信息安全的控制如果融合到需求分析和系统设计阶段，则效果会更好，成本也更便宜。1.1安全理念绝对安全与可靠的信息系统并不存在。一个所谓的安全系统实际上应该是“使入侵者花费不可接受的时间与金钱，而且承受很高的风险才能闯入”系统。安全性的增加一般导致企业费用的增长，这些费用包括系统性能下降、系统复杂性增加、系统可用性降低和操作与维护成本增加等等。安全是一个过程而不是目的。弱点与威胁随时间变化。安全的努力依赖于许多因素，例如职员的调整、新业务应用的实施、新攻击技术与工具的导入和安全漏洞。系统生命周期与安全生命周期系统生命周期一般由以下阶段组成：概念与需求定义、系统功能设计、系统开发与获取、系统实现与测试、系统的持久操作支持和最终系统处理。在过去的几年里，实现系统生命周期支持的途径已经转变，以适应将安全组成部分和安全过程综合到系统工程过程中的需要。与系统生命周期相对应，安全生命周期由以下几个阶段构成：安全概念和需求定义、安全机制设计、安全集成与实现、安全管理解决方案和安全风险分析。涉及到任何功能和系统级别的需求，经过理解安全需求、参加安全产品评估并最终在工程设计和实现系统等方式，应该在生命周期过程的早期便提出安全问题。近年来发现，在系统开发之后实现系统安全非常困难，而且已经有了不少教训。因此，必须在发掘需求和定义系统时便考虑安全需求。为了在系统工程过程中有效地集成安全方法与控制，设计者与开发者应该调整现有的过程模型，以产生一个交互的系统开发生命周期。该周期更关注使系统获得安全性的安全控制和保护机制。3S安全体系－以客户价值为中心3S安全体系由三部分组成：安全解决方案（SecuritySolution）、安全应用（SecurityApplication）和安全服务（SecurityService）。这三部分又都以客户价值为中心。安全解决方案（SecuritySolution）包括安全解决方案的设计与实施，安全产品选型与系统集成。安全应用（SecurityApplication）包括根据用户的实际应用环境，为用户定制应用安全系统。安全服务（SecurityService）则贯穿了整个安全建设的始终，从最初的安全风险评估与风险管理，帮助用户制定信息安全管理系统，系统安全加固，紧急安全响应，到安全项目实施后的安全培训教育。3S安全体系关注资产的安全风险安全技术涉及到方方面面的问题。对各种系统和设备的安全管理必然是一个复杂的、高负荷的工作。在若干的安全事件中，我们关注的是那些针对关键资产的安全漏洞发起的攻击，这些攻击才会对资产形成威胁。因此，对于企业资产和资产风险的管理应该是整个安全管理的第一步，即经过对这些资产的安全评估，了解资产安全状况的水准。这些工作是其它安全保护技术的基础，也是有效管理企业IT安全的基石。安全弱点管理平台能够智能发现关键IT业务资产和经营这些资产的技术（操作系统、应用程序、硬件版本等等），将其与确认的弱点进行对比，并提供包含逐步修补指导说明的基于风险的弱点管理任务列表，指导IT管理员合理及时处理安全弱点，从而显著地降低风险。安全对抗平台对关键网段进行监视，而且能够随时准备转移到安全事件的突发区，进行事件分析，帮助管理员和专家抵抗、反击攻击者。在安全事件发生后，能够重建安全事件过程、恢复关键数据，能够极大地提高系统的生存能力，而且起到威慑攻击者的目的。安全统一管理安全事件不是独立的、偶然的。一次成功的攻击事件，必然会在网络的相关设备和系统中有所反应。不论是人为发起的攻击，还是来自病毒的攻击行为，都能够从防火墙、路由器、交换机、入侵检测和主机系统中获取相关的证据。攻击的证据零散地分布在这些系统中，如果能够有效地、智能地加以整合，我们就能够清晰地了解到整个安全事件的过程，帮助管理员更好地管理信息系统的安全。来自管理方面的需求也迫切地需要一个安全统一管理平台。从广义的角度来看，网络设备应该也属于网络安全的一部分。在一个大型的网络中，对于分布在不同网段、不同地理位置的网络设备、安全设备的管理会消耗管理员大量的精力。而安全系统往往会部署在异构平台上，对于这些异构平台的掌握、对于安全系统的掌握也会浪费管理员的时间和精力。安全统一管理自动整合来自运行路由器、交换机、入侵检测、防病毒、防火墙等安全产品的事件数据，同时经过其客户端以及SAPI有效收集第三方安全检测产品产生的安全事件数据，并将其存储在中心数据库中以便方便地进行访问和编写报表。管理员使用安全统一管理平台管理、监视、报警和报告跨平台的用户活动信息。有了这些信息，系统管理员将能够在出现可能对关键电子商务系统造成负面影响的袭击和问题之前，立即做出反应。安全=管理+技术信息和支持进程、系统以及网络都是重要的业务资产。为保证企业富有竞争力，保持现金流顺畅和组织赢利，以及遵纪守法和维护组织的良好商业形象，信息的保密性、完整性和可用性是至关重要的。很多信息系统在设计时，没有考虑到安全问题。经过技术手段获得安全保障十分有限，必须辅之以相应的管理手段和操作程序才能得到真正的安全保障。确定需要使用什么控制措施需要周密计划，并对细节问题加以注意。作为信息安全管理的最基本要求，企业内所有的雇员都应参与信息安全管理。信息安全管理还需要供应商、客户或股东的参与。也需要参考来自组织之外的专家的建议。如果在制定安全需求规范和设计阶段时就考虑到了信息安全的控制措施，那么信息安全控制的成本会很低，并更有效率。1.2计算机系统安全问题当前，计算机系统和信息安全问题是IT业最为关心和关注的焦点之一。据ICSA统计，有11％的安全问题导致网络数据被破坏，14％导致数据失密，15％的攻击来自系统外部，来自系统内部的安全威胁高达60％。由于受到内部心怀不满的职工安放的程序炸弹侵害，OmegaEngineering公司蒙受了价值300万美元的销售收入和合同损失，由于受到来自网络的侵袭，Citibank银行被窃了1000万美元，后来她们虽然追回了750万美元损失，但却因此失去了7％的重要客户，其声誉受到了沉重打击。这只是人们知道的两个因安全问题造成巨大损失的例子，实际上，更多的安全入侵事件没有报告。据美国联邦调查局估计，仅有7％的入侵事件被报告了，而澳大利亚联邦警察局则认为这个数字只有5％。因为许多入侵根本没有被检测到，还有一些受到侵袭的企业由于害怕失去客户的信任而没有报告。那么，为什么当今信息系统中存在如此之多的安全隐患，安全问题如此突出呢？这是与计算机系统的发展、当今流行系统的设计思路、当前IT系统的使用状况紧密相关的。下面，我们从以下几个方面简要论述。1.2.1从计算机系统的发展看安全问题安全问题如此突出和严重是与IT技术和环境的发展分不开的。早期的业务系统是局限于大型主机上的集中式应用，与外界联系较少，能够接触和使用系统的人员也很少，系统安全隐患尚不明显。现在业务系统大多是基于客户/服务器模式和Internet/Intranet网络计算模式的分布式应用，用户、程序和数据可能分布在世界的各个角落，给系统的安全管理造成了很大困难。早期的网络大多限于企业内部，与外界的物理连接很少，对于外部入侵的防范较为容易，现在，网络已发展到全球一体化的Internet，每个企业的Intranet都会有许多与外部连接的链路，如经过专线连入Internet，提供远程接入服务供业务伙伴和出差员工访问等等。在这样一个分布式应用的环境中，企业的数据库服务器、电子邮件服务器、WWW服务器、文件服务器、应用服务器等等每一个都是一个供人出入的“门户”，只要有一个“门户”没有完全保护好－忘了上锁或不很牢固，“黑客”就会经过这道门进入系统，窃取或破坏所有系统资源。随着系统和网络的不断开放，供黑客攻击系统的简单易用的“黑客工具”和“黑客程序”不断出现，一个人不必掌握很高深的计算机技术就能够成为黑客，黑客的平均年龄越来越小，现在是14－16岁。1.2.2从计算机系统的特点看安全问题在现代典型的计算机系统中，大都采用TCP/IP作为主要的网络通讯协议，主要服务器为UNIX或WindowsNT操作系统。众所周知，TCP/IP和UNIX都是以开放性著称的。系统之间易于互联和共享信息的设计思路贯穿与系统的方方面面，对访问控制、用户验证授权、实时和事后审计等安全内容考虑较少，只实现了基本安全控制功能，实现时还存在一些这样那样的漏洞。TCP/IP的结构与基于专用主机(如IBMES/3000、AS/400)和网络(如SNA网络)的体系结构相比，灵活性、易用性、开发性都很好，可是，在安全性方面却存在很多隐患。TCP/IP的网络结构没有集中的控制，每个节点的地址由自己配置，节点之间的路由可任意改变。服务器很难验证某客户机的真实性。IP协议是一种无连接的通讯协议，无安全控制机制，存在IPSpoofing、TCPsequencenumberpredictionattacks、Sourceoutingattacks、RIPattacks、ICMPattacks、Data-drivenattacks(SMTPandMIME)、DomainNameServiceattacks、Fragmentattacks、Tinyfragmentattacks、Hijackingattacks、Dataintegrityattacks、EncapsulatedIPattacks等各种各样的攻击手段。实际上，从TCP/IP的网络层，人们很难区分合法信息流和入侵数据，DoS(DenialofServices，拒绝服务)就是其中明显的例子。UNIX操作系统更是以开放性著称的，在安全性方面存在许多缺限。如用户认证和授权管理方面，UNIX操作系统对用户登录的管理是靠用户名和口令实现的，存在很多安全上的隐患；在对资源的访问控制管理方面，UNIX只有读、写和执行三种权限，无法对文件进行更为细致的控制，且缺乏完善有效的跟踪审计能力。严格的控制需要复杂的配置过程，不同系统上配置方法也很不一致，实际上无法全面有效地实施。另外UNIX中的root用户为特权用户，拥有至高无上的特权，它也成为黑客窥视的主要目标，给系统安全造成了极大危害。2.物理安全2.1设备的安全目的：防止资产丢失、损失或被破坏，防止业务活动的停顿。设备应有物理保护不受安全威胁及环境事故的影响。要保护设备（包括用在离线的地方）以减少非法访问数据的风险，和保护不会丢失或损失，也要考虑设备应放在什么地方及如何处理掉。可能需要特别的控制来保护故障或非法访问，和保障支援设备，例如电力供应和线缆架构。2.1.1设备的放置及保护设备应放在安全的地方，保护减少来自环境威胁及事故的风险，减少非法访问的机会。要考虑的有：设备的位置，应是尽量减少不必要的到工作地方的访问；处理敏感数据的信息处理及储存设备应该好好放置，以减少使用时被俯瞰的风险；需要特别保护的东西，应被隔离；应控制并减少潜在威胁出现的风险：偷窃；火；爆炸物；烟；水（或供水有问题）；尘埃；震动；化学效应；电力供应干扰；电磁辐射；机构应考虑在信息处理设备附近的饮食及吸烟策略；应监控那些严重影响信息处理设备操作的环境；考虑在工业环境设备的特殊保护方法，例如采用键盘薄膜；应考虑在大厦附近发生灾难的后果，例如隔离大厦着火、房顶漏水，地下层渗水、街道发生爆炸。2.1.2电力的供应应保证设备电源不会出现故障，或其它电力异常。应有适当的、符合设备生产商规格的电力供应。关于连续性供电的选项有：多个输电点，避免单点输电导致全部停电；不间断电源（UPS）；备份发电机。建议为那些支持重要业务操作的设备配备UPS，保持有次序的停电或连续性供电。应急计划应包括UPS发生故障时应采取什么行动。UPS设备应定期检查，保证有足够的容量，并按生产商的建议进行测试。如果发生长时间电源失败还要继续信息处理的话，请考虑配备后备发电机。发电机安装后，应按生产商的指示定期进行测试。应提供足够的燃料保证发电机能够长时间发电。另外，紧急电力开关应放置设备房紧急出口的附近，以便一旦发生紧急事故马上关闭电源。也要考虑一旦电源失败时的应急灯。要保护全大厦的灯，及在所有外部通讯线路都要装上灯光保护过滤器。2.1.3电缆线路的安全应保护带有数据或支持信息服务的电力及电讯电缆，使之不被侦听或破坏。要注意的有：进入信息处理设备的电力及电讯电缆线路应放在地下下面，如可能，也能够考虑其它有足够保护能力的办法；网络布线应受到保护，不要被非法截取或被破坏，举例，使用管道或避免经过公众地方的路径；电源电缆应与通讯电缆分开，避免干扰；至于敏感或重要的系统，更要考虑更多的控制，包括：安装装甲管道，加了锁的作为检查及终点的房间或盒子；使用可选路由或者传输介质；光纤光缆；清除附加在电缆上的未授权设备。2.1.4设备的维护设备应正确维护来保证连续性可用合完整性。以下是要注意的：设备应按供应商的建议服务间隔及规格维护；只有授权的维护人员才能够修理设备；记录所有可疑的或真实的故障，以及所有防范及改正措施；实施适当的控制如何把设备送出大厦进行修理2.1.4设备离开大厦的安全无论是谁拥有的，在机构外面使用任何设备处理信息应有管理层的授权。所提供的安全保护应与设备在大厦内使用时相同。还要考虑在机构大厦外面工作的风险。信息处理设备包括所有形式的个人计算机、商务通、移动电话纸张或其它表格，放在家里或从日常工作地方搬走。要考虑的有：从大厦取走的设备及介质，不应放在公众地方无人看管。笔记本计算机应当作手提行李随身，及在外时尽量遮蔽，不要显露在外被人看到；应时常注意生产商保护设备的指示，例如不要暴露在强大的电磁场内；在家工作的控制，应在评估风险后确定，并适当地实施，举例，可上锁的文件柜、清除桌子的策略及计算机的访问控制；应有足够的保险保护不在大厦的设备。安全风险，例如损坏、被盗及偷听，可能每个地方都不同，因此应仔细考虑后确定最适当的控制。参看.5设备的安全清除或重用信息能够经过不小心清除或重复使用设备而被破坏（参看8.6.4），有敏感信息的存储设备应该物理被销毁或安全地覆盖，而不是使用标准的删除功能。所有储存设备，例如固定硬盘，应被检查以保证已清除所有敏感数据及授权软件，或在清除前已被覆盖。损坏了、有敏感数据的储存设备可能需要评估风险后确定是否把设备销毁、修理或丢掉。3.访问控制3.1访问控制的业务需求目的：控制信息的访问。应按照业务及安全要求控制信息及业务程序的访问，应把信息发布及授权的策略内容加入到考虑范围之内。3.1.1访问控制策略策略及业务需求首先要定义业务需求的访问控制，并记录下来。访问策略的文件应清楚写明每个用户或每组用户应有的访问控制规定及权限，用户及服务提供商都应有一份这样的文件，明白访问控制要达到什么业务需求。访问控制策略应包括以下内容：每个业务应用系统的安全要求；确认所有与业务应用系统有关的信息；信息发布及授权的策略，例如：安全级别及原则，以及信息分类的需要；不同系统及网络之间的访问控制及信息分类策略的一致性；关于保护访问数据或服务的相关法律或任何合同规定；一般作业类的标准用户访问配置；在分布式及互联的环境中，管理所有类别的连接的访问权限。访问控制规定在制定访问控制规定时，应小心考虑以下：将必须实施的规定和能够选择实施或有条件实施的规定分开考虑；根据“除非有明文准可，否则一般是被禁止”的原则建立规定，而不是“在一般情况下全都能够，除非有明文禁止”的模糊概念；由信息处理设备自动启动与经过用户判断启动的信息标记改动；由信息系统自动启动的与由管理员启动的用户许可的变动。需要与不需要管理员或其它批准才能颁布的规定。3.2用户访问的管理目的：防止非法访问信息系统。应有一套正式程序来控制分配信息系统及服务的访问权限。手续应包括用户访问生命周期的所有阶段，从一开始注册新用户直到最后注销那些不再需要访问信息安全及服务的用户。应特别注意控制分配特级访问权限，因为这些特级权限让用户越过系统的控制。3.2.1用户登记应有一套正式的用户注册及注销手续，以便授予访问所有多用户信息系统及服务。多用户信息服务的访问应经过正式的用户注册手续控制，内容应包括：使用唯一的用户ID，以便鉴定是谁做什么操作，并予以追究责任；检查用户是否已被系统拥有者授权使用信息系统或服务。有时，还需要管理个别批准访问权限；检查所准许的访问级别是否适用于业务目的（参看3.1），是否与机构的安全策略一致，例如不会破坏责任的分开；发送用户访问权限声明书给用户；要求用户在声明书上签字，表示明白了访问的条件；确保服务提供者不能访问，直到授权手续已完成；保存一份所有注册使用服务的正式名单；马上取消已更换岗位、或已离开机构的用户的访问权限；定期检查是否有多余的用户ID及账号，并予以除掉；确保多余的用户ID不会发给其它用户。另外，应仔细研究员工合同及服务合同中涉及员工或服务商试图非法访问后所受到的制裁的条款。3.2.2特权管理应禁止及控制特权（指任何一种功能或设备会让用户能够越过系统或应用系统控制的多用户信息系统）的分配与使用。不适当使用系统特权往往是系统安全被破坏的主要原因。需要保护不被非法访问的多用户系统应有正式授权手续控制特权的分配，应考虑以下的步骤：认与每个系统产品（例如操作系统、数据库管理系统以及每个应用系统，以关联的特权，以及找出那些应配有特权的员工。权应按照“需要使用”及“按事件”的原则分配，即只在需要时所赋有的最低功能角色要求。应有一套授权程序，及记录所有被分配的特权。不应授予特权，直到完成整个授权程序。鼓励开发及使用系统例行程序，以避免授予用户特权的需要特权应赋予不同的用户ID，与用作业务的ID分开3.2.3用户口令的管理口令是一个常见方法，来核查访问某个信息系统或服务的用户身份。因此，应经过正式的管理程序分配口令，办法以下：要求用户在声明书上签字，保证不泄露个人口令，以及只让在同一组的组员知道作业组的口令；当需要用户保密自己的口令时，保证在开始时只提供一个暂时的口令，强迫用户马上更改。当用户忘记自己口令时，应在确认清楚用户身份后才提供临时性口令；要求安全地发给用户临时性口令。应避免使用第三方或未加保护（明文）的电子邮件信息。用户应确认收到口令。口令绝不能以不加保护的形式储存在计算机系统中（参看3.5.4）。其它用来确认及认证用户的技术，例如生物测定学，指纹核查、签名核查及硬件令牌，例如chip-cards3.2.4用户访问权限的检查为了有效控制数据及信息服务的访问，管理层应该定期正式检查，看看用户的访问权限是否：定期（建议是每隔六个月）及在任何改动后（参看3.2.1更频繁地检查特权访问的授权（参看3.2.2定期检查特权的分配，以确保没有用户取得非法特权。3.3用户责任目的：防止非法的用户访问。合法用户的合作对推行有效的安全非常重要。用户应知道自己有责任维护有效的访问控制，特别是如何使用口令及用户设备的安全。3.3.1口令的使用用户应遵守良好的选择及使用口令的安全惯例。口令提供了一个核查用户身份的途径，从而能够建立信息处理或服务的访问权限，建议所有用户应：保密口令；避免书写记录口令，除非保存妥当；每当怀疑系统被破坏或口令被公开时，应马上更改口令；选一个至少有六个字的好口令：容易记住；不根据与个人有关的信息如名字、电话号码、出生日期等（容易被猜出）订出口令；不是连续的同一个字，或全是数字或全字母；定期或按访问次数更改口令（特权账号的口令应比一般口令更改更频繁），避免重复使用旧口令；第一次登录后应马上更改临时性口令；不要在自动登录程序中把口令纳入，例如储存在宏或函数密钥中；不要与别人共享口令。如果用户需要使用好几个口令来访问多个服务或平台，建议她们应使用一个很好的单一口令（参看3.3.1(4)3.3.2无人看管的用户设备用户应检查无人看管的设备是否适当地保护起来了。安装在用户使用地方的设备，例如工作站或文件服务器，如一段时间内无人看守时，更需要格外保护并使之免于被非法访问。所有用户及合作伙伴应都知道保护无人看管设备的安全要求及手续，以及有责任实施保护措施。建议用户应：除非有合适的锁定机制保护（例如有口令保护的屏幕保护（screensaver），否则应终止已完成的活动会话；会话结束后应退出登录主机（即不但仅是关闭PC或终端）；当PC或终端不用时，应保护它们不被非法使用，例如使用密钥锁或等同的安全机制，如口令访问。3.4网络访问控制目的：互联服务的保护。应控制内部及外部联网服务的访问，以确保能够访问网络或网络服务的用户不会破坏这些网络服务的安全，保证：在机构网及其它机构网或公用网之间要有合适的界面；要有合适的认证机制认证用户及设备；控制用户访问信息服务。3.4.1网络服务的使用策略不安全地连接到网络服务会影响整个机构的安全，因此，只能让用户直接访问已明确授权使用的服务。这种安全控制对连接敏感或重要业务的网络，或连接到在高风险地方（例如不在机构安全管理及控制范围的公用或外部地方）的用户特别重要。策略应与网络及网络服务的使用有关，应覆盖：容许被访问的网络及网络服务；定出谁能够访问哪个网络及网络服务的授权手续；保护接入网络及网络服务的管理控制及手续；这个策略应与业务访问控制策略一致（参看3.1）。3.4.2强制式路径从用户终端到计算机服务的路径应受到控制。网络是用来在最大范围之内共享资源及提供最大程度的路由，但网络这样的功能也同时提供机会非法访问业务应用系统或非法使用信息设备，因此，在用户终端与计算机服务之间设置路由控制（例如，建立一条强制式路径）会减少这样的风险。强制式路径的目的是阻止用户选择一条不是用户终端与用户可访问服务之间的路由。这样，就需要在路由的不同点上实施多个安全控制，控制原则是按事先定义的选择限制每个网点的路由选择，这方面的例子有：分配专用线或电话号码；自动把端口连接到指定的应用系统或安全网关；限制供每个用户使用的菜单及子菜单；禁止无限量的网络漫游；强迫外部网络用户使用指定的应用系统及/或安全网关；经过安全网关（例如防火墙）严格控制从源地址到目的地址的通讯；设置不同的逻辑域（例如VPN）限制机构内用户组对网络的访问（请参看3.4.6对强制式路径的需求应该基于业务访问控制策略（参看3.1）3.4.3外部连接的用户认证外部的连接（例如拨号访问）是非法访问业务信息的隐患。因此，远程用户的访问应被认证。认证方法有很多种，保护的程度也有强弱之分，例如使用密码技术的方法提供非常安全的认证。因此，应在风险评估后决定需要哪一级别的保护，然后决定需要哪种认证机制。认证远程用户的方法能够基于密码技术、硬件令牌或是一个挑战/响应（challenge/response）的协议。专用线或网络用户地址的检查设备也能够被用来提供源地址的保障。回拨（dial-back）的程序及控制（如使用回拨调制解调器），能够拒绝非法或不受欢迎的连接到达机构的信息处理设备。这样的控制能够对试图从远程地点与机构网络建立连接的用户进行认证。使用这种控制的机构就不要使用有呼叫传送（callforwarding）功能的网络服务，如果坚持要使用的话，机构应中止使用这样的功能，避免因callforwarding所带来的安全隐患。同时，在回拨进程中包括保证机构确实断绝连接的功能是很重要的，要不然，远程用户便能够把线路一直保持是通的，假装已确实发生了回拨验证。应仔细检查回拨的程序与控制是否会可能有此情况发生。3.4.4 网点认证能够自动连接到远程计算机间接等于是提供非法访问业务应用系统的机会，因此要有认证机制来认证到远程计算机系统的连接，特别是使用机构安全管理控制范围之外的网络连接。以上的3.4.3网点认证也能够当作是另一方法去认证一组连接到安全、共享的计算机设备的远程用户。（参看.5远程诊断端口的保护应安全地控制诊断端口的访问。很多计算机及通讯系统已安装拨号远程诊断设备为维护工程师使用。如果不好好保护，这些诊断端口就变成非法访问的途径，因此，应有合适的安全机制保护这些端口，例如，有一个密钥锁及程序，保证只能使用经过计算机服务管理员与需要访问的软硬件技术支持人员商量后所同意的访问方法访问。3.4.6网络的隔离网络不断扩大，已超出传统的机构式范围，业务伙伴的相继形成，同时也要求大家互联或共享信息处理及联网设施。这样的扩大，也增加了非法访问现有网络信息系统的风险，而这些系统因有敏感信息或是非常重要的不能让别的网络用户访问的信息，在这样的情况下，应考虑在网络设置控制，把不同的信息服务组、用户及信息系统隔离。一种控制大网络安全的方法是把网络分成几个逻辑网域，例如，机构的内部网域及外部网域，每个网域都有特别指定的安全边界，实现这样的安全边界是在两个要联网的网络之间安装一个安全的网关，来控制两个网域之间的访问及信息流量。网关的设置应该是过滤这些网域之间的流量（参看3.4.7及3.4.8），以及按机构的访问控制策略（参看3把网络分隔成网域的标准，应该是按照访问控制策略及访问机制（参看3.1），还要考虑成本及因设置网络路由或网关技术（参看3.4.7及33.4.7网络连接控制共享网络的访问控制策略的要求，特别是超出机构范围的网络，可能需要有另外的控制来禁止用户的连接能力。这样的控制能够使用事先定义的表或规定过滤流量的网关实现。制定禁止规定应按访问策略及业务需求（参看3.1），并时常更新。应制定禁止规定的例子是：电子邮件；单向的文件传输；双向的文件传输；交互访问；有时间日期的网络访问。3.4.8网络路由的控制共享网络，特别是超出机构范围的网络，需要设置路由控制，以保证计算机连接及信息流不会破坏业务系统的访问控制策略（参看3.1）。那些与第三方（非机构）用户共享的网络更需要有这些控制。路由控制应该是按正确检查源及目的地址的机制制定。网络地址翻译是一个很有用的机制来隔离网络，以及阻止路由从一个机构网络传播到另一个机构的网络。机制能够用软件或硬件实现，但实现者要注意机制的安全程度。3.4.3 现在有很多不同类别的公私网络服务供使用，有些服务是增殖服务，而网络服务应有独特或者复杂的安全特征。使用网络服务的机构应清楚知道所用服务的安全属性。3.5操作系统的访问控制目的：防止不合法的计算机访问。操作系统级别的安全设施应被用来限制计算机资源的访问。这些设施应有以下功能：标识及检查身份，如有需要，应把每个合法用户的终端或地点都纳入检查之列；记录成功及失败的系统访问；提供合适认证方法：如果使用口令管理系统，应保证是在用良好的口令（参看3.3.1如有需要，限制用户的连接时间。其它访问控制方法，例如challenge-response,如果能够减低业务风险，也能够考虑使用。3.5.1自动认证终端在认证连接到指定地点及便携式设备时，能够考虑使用自动认证终端。自动认证终端是一种用于只能从某个地点或计算机终端启动会话的技术。一个在终端中，或附在终端的标识符能够显示这终端是否能够启动或接收交易。如有需要，考虑用物理方法保护终端，以维持终端标识符的安全。认证用户的方法有很多（请参看.2终端的登录程序正常情况是应该能够经过安全的登录过程进入信息服务，登录进入计算机系统的程序应把非法访问的机会减到最低，为了避免提供非法用户不必要的帮助，登录程序应只公开最少量的系统信息。一个良好的登录程序应：不显示系统或应用系统的标识符，直到登录成功完成；显示一个通知，警告只有合用用户才可进入系统；在登录过程中不提供帮助信息，以免被不合法用户利用；只有完成输入数据后才核查登录信息。如有出错，系统应指出哪部分的数据是正确，哪部分不正确；限制登录失败的次数（建议是三次），以及考虑：记录不成功的登录；强迫在继续尝试登录前有时间间隔，或者在没有特定授权之下拒绝任何登录尝试；限制登录程序的最长及最短时间。限定时间一过，系统应停止登录程序；完成成功登录后显示以下信息：前一次成功登录的日期及时间；自上次成功登录后任何不成功登录尝试的详情。3.5.3用户标识及认证所有用户（包括技术支持员工，例如操作员、网管、系统程序员及数据库管理员）应有各自的标识符（用户ID），只为自己使用，以确认谁在操作，及予以追究责任。用户ID应没有任何迹象显示用户的权限（参看3.2.2在特殊情况下，如有清晰的业务利益，能够考虑为一组用户或某个作业共享用户ID，但一定要有管理层的书面批准才行。如有需要，能够增加管理措施来贯彻责任。有很多种认证程序能够被用来充实某个用户所称述的身份。口令（参看3.3.1用户拥有的对象，例如内存令牌或智能卡，也是标识及认证的方法之一。认证某人的身份也可使用生物特征认证，一种利用用户某个独特特征或属性的认证技术。强大的认证能够经过安全组合多个认证技术或机制来实现。3.5.4口令管理系统口令是一种基本方法检查用户访问某个计算机服务的权限，因此，口令管理系统应提供一个有效交互的措施，确保是在使用健全的口令（参看3.3.1一些应用系统要求用户口令由某个独立机构制定，但大部分情况是由用户选择及保存自己的口令。一个良好的口令管理系统应是：强制使用个人口令来维护责任；在适当情况下，容许用户选择及更改自己的口令，并提供确认程序确认输入正确；强令执行要选择健全的口令，如在3.3.1如果是用户维护自己的口令，要强迫口令的变化，如3.3.1如果是用户选择口令，强迫她们第一次登录后要更改临时的口令（参看3.2.3记录用户用过的口令，例如12个月前用的口令，以防止重复使用；进入系统后不要在屏幕上显示口令；把口令文件与应用系统数据分开储存；使用单向加密算法把口令加密储存；安装软件后把供应商的缺省口令改掉。3.5.5系统工具的使用很多计算机的安装都有一个以上的系统工具程序，来越过系统及应用程序的控制，因此，有必要限制及严格控制这些工具的使用。以下的控制能够被考虑：使用认证程序认证系统工具；把系统工具与应用软件分开；把系统工具的使用限制到只有最少数的可信任合法用户使用；授权在特别情况下使用系统工具；限制系统工具的使用期限，例如只在合法更改的期间内使用；记录所有使用系统工具的活动；定义及记录所有系统工具的授权级别；取消所有不必要的工具软件及系统软件；3.5.6为保障安全的人员配备强迫警钟是否应为保障安全用户提供警钟，应在评估风险后决定，同时，要定义负责什么责任及反应警钟的程序。3.5.7终端超时在高风险地方（例如公用地方，或超出机构安全管理范围之外的地方）的交互终端，或为高风险系统服务的交互终端，应在一段没有活动的时间后关闭，以免被非法用户访问。这种超时措施应在一段休止时间后清除终端屏幕的内容及关闭应用系统及网络会话。超时的延迟应能反映这地方的安全风险以及谁是终端的使用者。能够在某些PC上实行部分的终端超时措施，即清除屏幕内容防止非法访问，但不关闭应用系统或网络会话。3.5.8连接时间的限制限制连接时间在某种程度上加强高风险应用程序的安全。限制那段时间准许终端连接到计算机服务的做法，会减少非法访问的时限。这样的限制应考虑在敏感的计算机应用系统上实行，特别是安装在高风险地方（例如公用地方，或超出机构安全管理范围之外的地方）的终端。这样的限制方法例子能够是：使用已定的时间段，例如传输批文件的时间，或短时间的定期交互会话；如果没有加班或延长工作的要求，限定连接时间在正常的工作时间之内。3.6应用系统的访问控制目的：防止非法访问放在信息系统中的信息。应有安全设备来禁止访问应用系统并只容许合法用户逻辑访问软件及信息。应用系统应该是：按已定的业务访问控制策略，控制用户进入信息系统及访问应用系统功能；防止能够越过系统或应用系统控制的工具及操作系统非法访问；不破坏其它共享信息资源的系统的安全；只让拥有者、其它合法用户或指定的用户组访问信息；3.6.1信息访问的限制应用系统的用户，包括技术支持人员，应按访问控制策略、个别业务的应用要求及机构的信息访问策略访问信息及应用系统功能。要符合访问限制的要求，应考虑以下的控制：提供菜单来控制对应用系统功能的访问；适当编辑用户说明书，把用户不该知道的信息或应用系统的功能去掉；控制用户的访问权限，例如阅读、写入、删除及执行；保证处理敏感信息的应用系统的输出只有与输出使用有关的信息，并只发送给合法的终端及地点，同时，也要定期检查这些输出确实没有多余的信息。3.6.2敏感系统的隔离敏感系统需要有专用（隔离）的计算机环境。一些应用系统的信息非常敏感，需要特别的处理以防止损失。应用系统的敏感程度暗示需要在专用的计算机上运行，只能与可信任的应用系统共享资源。要考虑的问题有：应明确标明应用系统的敏感程度，并由这系统的拥有者记录保存；当一个敏感应用系统要在共享环境下运行，应标明有哪些应用系统与它共享资源，并得到敏感应用系统拥有者的同意。3.7系统访问和使用的监控目的：检测非法活动。系统应被监控来检测违反访问控制策略的活动，以及记录可检测的事件，以便在发生安全事件时提供证据。系统监控能够检查所经过的管理是否有效，是否与访问控制模型（参看3.1）一致。3.7.1事件记录应有一个记录异常事件及其它安全事件的审计日志，并在一段已定的时间内保存备用。审计日志应包括以下：用户ID；登录与推出登录的日期时间；终端或地点（如可能）的身份；成功及拒绝的系统访问的日志；成功及拒绝的数据及其它资源的访问。某些审计日志因为保存策略的需要或者因为要收集证据而需要归档。3.7.2监控系统的使用风险的程序及区域应建立监控信息处理设备使用情况的程序，以保证用户只进行明确授权了的活动。所需的监控级别应在评估风险后确定。要考虑的区域有：合法访问，包括详细情况，如：用户ID；重要事件发生的日期时间；事件的种类；所访问的文件；所使用的进程/工具。所有特权操作，例如：管理账号的使用；系统的启动及停止；I/O设备的附加装置/分离装置。非法访问的尝试，例如：失败的尝试；网关及防火墙的违反访问策略的访问及通知；入侵检测系统的预警。系统预警或失败，例如：控制台预警或消息；系统日志的异常；网络管理的警报。风险因素应定期审查监控活动的结果，审查的频率应依赖于涉及的风险。风险因素有：应用进程的重要性；所处理的信息的价值、敏感程度及重要性；过去系统渗透及误用的经验；系统联网的范围（特别是公用网）。对事件进行日志记录和审查日志检查包括了解系统所面临的威胁，以及这些威胁在什么情况下会出现。3.7.1系统日志的内容一般是非常多，有很多是与安全监控无关。要找出重要的事件，应考虑自动把合适的消息种类拷贝到第二个日志，以及/或使用合适的系统工具或审计工具检查文件。当指定日志检查的责任时，应该把进行检查的人员和活动被监控的人员的角色分开。特别要注意日志设备的安全，因为如果被篡改，日志等于是提供不真实的安全，因此，要注意不要被非法更改及操作出错，如：日志设备的停用；所记录的对消息种类的更改；被编辑或删除的日志文件；日志文件储存介质的用尽，或者不能继续记录日志或者覆盖自己。3.7.3时钟的同步计算机时钟的正确设置是非常重要的，以保证审计日志的准确性，留待日后调查或当作法庭证据，不准确的审计日志会妨碍这样的调查工作，以及有损证据的可信性。如果是计算机或通讯设备能够实时操作时钟，应把时钟时间设成已认可的标准，例如统一协同时间（UniversalCo-ordinatedTime）或当地标准时间。因为有些时钟会随时间变快或变慢，因此，应有一个程序检查时钟的时间，如发现不对，能够予以改正。3.8移动操作及远程办公目的：保证信息安全在移动环境及远程工作的设备上实现。应考虑在这些情况有哪些风险后才决定要指定那些策略。移动环境是个没有保护的环境，应仔细考虑会有什么风险，以及应有哪方面的安全措施。至于远程工作模式，机构应保护远程工作的地点，并保证有合适的措施，保护在这样的环境工作的安全。3.8.1移动操作当使用移动计算机设备，例如笔记本、掌上宝、移动电话等，应小心业务信息不被破坏。应颁布正式的策略，对付移动操作的风险，举例，策略应包括物理保护的要求、访问控制和密码控制技术、备份、防病毒等等，以及连接移动设备到网络的规定及建议，如何在公共场所使用这些设备的指引。应小心在公共场所、会议室及其它没有保护的不在机构办公地点的地方使用移动设备，应保护不被非法访问或泄露被该设备储存或处理的信息，方法之一是使用密码技术。重要的是，要注意在公共场所使用移动设备时，小心不要被不认识的人在后面偷看。同时，也要有防止恶意软件程序，并要时常保持最新版本（参看8.3）。应有随时可用的设备，以便快速、轻松地备份信息。这些备份应有很好的保护，不被盗取或丢失。应保护移动设备到网络的连接。使用移动设备在公用网上远程访问业务信息时，只有在成功标识及认证并经过访问控制机制（参看3.4）后才准许连接。移动计算机的设备应保护不被盗取，特别是放在汽车或其它交通工具、饭店房间、会议中心等情况下。不要把有重要敏感及/或重要业务信息的移动设备搁在一旁，如可能的话，最好放在加锁的地方，或是使用特别的锁把设备锁住。更多关于如何物理保护移动设备的方法应提供培训给使用移动设备的员工，提高她们的认识，明白这样的工作方式所带来的风险，以及有什么管理办法能够使移动工作更安全。3.8.2远程工作远程工作是指使用通讯技术使员工在一个不在机构的固定地方远程工作，为了安全，因此要保护远程工作的地点，例如保护设备及信息不要被盗取，不要非法公开信息，不要非法远程访问机构的内部系统或滥用设备。要注意由管理层授权及管理远程工作，保证实施了保护措施使远程工作安全。机构应制定一套策略，程序及标准来管理远程工作的活动。机构应只授权已有合适的安全安排及管理的远程工作活动，并要求要与机构的安全策略一致，要考虑的有：现有远程工作地点的物理安全，包括大厦及当地环境的物理安全；建议的远程工作环境；安全通讯的要求，包括远程访问机构内部网的需要、被访问信息的敏感程度、内部系统的敏感程度等；工作环境内的其它人（例如亲人及朋友）非法访问信息或资源的威胁要考虑的管理及安排有：远程工作活动有没有合适的设备及保存设备；定义什么工作能够进行、工作的时间、要保存的信息分类以及远程工作者被授权能够访问的内部系统及服务；配备合适的通讯设备，包括安全远程访问的方法；物理安全；朋友或亲人进入设备或信息的规定及指引；配备软硬件的支持及维护；备份及业务连续性的程序；审计及安全监控；停止远程工作活动后授权、访问权限的注销及设备的归还。4.网络与通信安全4.1网络中面临的威胁4.1.1针对网络设备的攻击交换机-针对CDP攻击说明:Cisco专用协议，用来发现周边相邻的网络设备链路层帧，30s发送一次能够得到相邻设备名称，操作系统版本，接口数量和类型，接口IP地址等关键信息在所有接口上默认打开危害:任何人能够轻松得到整个网络信息,能够被利用发起DoS攻击：对策:如不需要，禁止CDP,禁止User-End端口的CDP交换机-针对STP攻击说明:SpanningTreeProtocol防止交换网络产生回路RootBridgeBPDU--bridgeID,pathcost,interface攻击:强制接管rootbridge，导致网络逻辑结构改变，在重新生成STP时，能够导致某些端口暂时失效，能够监听大部份网络流量。BPDUFlood：消耗带宽，拒绝服务对策:对User-End端口，禁止发送BPDU路由器-发现路由经过tracertroute命令,最后一个路由容易成为DoS攻击目标.路由器-猜测路由器类型端口扫描,操作系统堆栈指纹,登陆旗标（banner）,其它特征：如Cisco路由器1999端口的ack分组信息，会有cisco字样提示4.1.2拒绝服务（DoS）攻击DoS（DenialofService）拒绝服务攻击是用来显著降低系统提供服务的质量或可用性的一种有目的行为。DDoS（DistributedDenialofservice）分布式拒绝服务攻击使用了分布式客户服务器功能，加密技术及其它类的功能，它能被用于控制任意数量的远程机器，以产生随机匿名的拒绝服务攻击和远程访问。DoS攻击举例SynFloodIcmpSmurf（directedbroadcast）UdpFloodIcmpPingFloodTARGA3(堆栈突破)操作系统级别的拒绝服务（SMBDie）应用级别的拒绝服务（pcanywhere）DDoS攻击类型TrinooTFNTFN2KFunTimeApocalypseSynFloodSYNFlood是当前最流行的DoS（拒绝服务攻击）与DDoS（分布式拒绝服务攻击）的方式之一，这是一种利用TCP协议缺陷，发送大量伪造的TCP连接请求，从而使得被攻击方资源耗尽（CPU满负荷或内存不足）的攻击方式。IcmpSmurfSmurf攻击是以最初发动这种攻击的程序名Smurf来命名。这种攻击方法结合使用了IP欺骗和ICMP回复方法使大量网络传输充斥目标系统，引起目标系统拒绝为正常系统进行服务。攻击的过程是这样的：Attacker向一个具有大量主机和因特网连接的网络的广播地址发送一个欺骗性Ping分组（echo请求），这个目标网络被称为反弹站点，而欺骗性Ping分组的源地址就是攻击者希望攻击的系统。网段中的所有主机都会向欺骗性分组的IP地址发送echo响应信息。如果这是一个很大的以太网段，能够会有500个以上的主机对收到的echo请求进行回复。由于多数系统都会尽快地处理ICMP传输信息，Attacker把分组的源地址设置为目标系统，因些目标系统都很快就会被大量的echo信息吞没，这样轻而易举地就能够阻止该系统处理其它任何网络传输，从而引起拒绝为正常系统服务。这种攻击不但影响目标系统，还影响目标系统的网络状况。阻塞Smurf攻击的源头 Smurf攻击依靠攻击者的力量使用欺骗性源地址发送echo请求。用户能够使用路由路的访问保证内部网络中发出的所有传输信息都具有合法的源地址，以防止这种攻击。这样能够使欺骗性分组无法找到反弹站点。阻塞Smurf的反弹站点 用户能够有两种选择以阻塞Smurf攻击的反弹站点。第一种方法能够简单地阻塞所有入站echo请求，这们能够防止这些分组到达自己的网络。如果不能阻塞所有入站echo请求，用户就需要将自己的路由器把网络广播地址映射成为LAN广播地址。制止了这个映射过程，自己的系统就不会再收到这些echo请求。UdpFloodUDP攻击的原理是使两个或两个以上的系统之间产生巨大的UDP数据包。首先使这两种UDP服务都产生输出，然后让这两种UDP服务之间互相通信，使一方的输出成为另一方的输入。这样会形成很大的数据流量。当多个系统之间互相产生UDP数据包时，最终将导致整个网络瘫痪。如果涉及的主机数目少，那么只有这几台主机会瘫痪一些被恶意利用的UDP服务，如echo和chargen服务，它会显示接收到的每一个数据包，而原本作为测试功能的chargen服务会在收到每一个数据包时随机反馈一些字符，如果恶意攻击者将这2个UDP服务互指，则网络可用带宽将很快耗尽禁止相关服务与网络设备配合IcmpPingFloodPing是经过发送ICMP报文(类型8代码0)探寻网络主机是否存在的一个工具。部分操作系统（例如win95），不能很好处理过大的Ping包，导致出现了PingtoDeath的攻击方式（用大Ping包搞垮对方或者塞满网络），由于在早期的阶段，路由器对包的最大尺寸都有限制，许多操作系统对TCP/IP栈的实现在ICMP包上都是规定64KB，而且在对包的标题头进行读取之后，要根据该标题头里包含的信息来为有效载荷生成缓冲区，当产生畸形的，声称自己的尺寸超过ICMP上限的包也就是加载的尺寸超过64K上限时，就会出现内存分配错误，导致TCP/IP堆栈崩溃，致使接受方当机。如果对方的操作系统已经能够防御堆栈崩溃，也占去许多带宽。如TFN2K会产生大量的进程，每个进程都不停地发送PING包，从而导致被攻击目标的无法正常工作。正常情况下，Ping的流程是这样的:主机A发送ICMP8,0报文给主机B主机B回送ICMp0,0报文给主机A因为ICMP基于无连结，假设现在主机A伪装成主机C发送ICMP8,0报文，结果会怎么样呢?显然，主机B会以为是主机C发送的报文而去回应主机C，结构如下：伪装为主机C错误的回复主机A>主机B>主机C这种情况下，由于主机A只需要不断发送Ping报文而不需要处理返回的EchoReply，因此攻击力度成倍的增加，同时实际上主机B和主机C都是被进攻的目标，而且不会留下攻击者的痕迹。Cisco基于拒绝服务攻击HTTP的漏洞Cisco路由启用(enable)远程WEB管理，很容易遭受DoS。这种DoS能导致路由器停止对网络请求的响应。这是功能是Cisco路由的内嵌功能。但启用这个特性，经过构造一个简单的Http请求就会造成DoS攻击：http://<router-ip>/%%这种请求导致路由停止响应，甚至引起路由器执行硬重置(hardreset)。如果http起用，浏览：http://route_ip_addr/anytest?/而且提供特权口令，则能够导致DoS攻击，导致路由停机或者重启。Cisco的WEB服务的越权访问漏洞：几乎所有的版本的Cisco设备IOS都有这个问题存在，攻击者只需要构造一个如下的URL:http://IP/level/xx/exec/即可!这里的xx是一个从16-99之间的整数。对于不同的设备，这个数值可能是不同的，可是攻击者仅需要测试84次即可找到正确的数值。如果不能进入，尝试：，就会发现结果好象是不一样了，我们已经按照刚才的漏洞描述成功的绕过了Cisco的密码检查机制，现在拥有的是设备的管理员权限。DDoS攻击特性DDoS攻击将越来越多地采用IP欺骗的技术；DDoS攻击呈现由单一攻击源发起进攻，转变为由多个攻击源对单一目标进攻的趋势;DDoS攻击将会变得越来越智能化，试图躲过网络入侵检测系统的检测跟踪，并试图绕过防火墙防御体系;针对路由器的弱点的DDoS攻击将会增多;DDoS攻击利用路由器的多点传送功能能够将攻击效果扩大若干倍;采用半连接技术SYN攻击，和针对TCP/IP协议先天缺陷的的ACK攻击。采用ICMP攻击。采用smurf攻击采用UDP攻击。4.1.3欺骗攻击IP欺骗原理:IP是网络层的一个非面向连接的协议，伪造IP地址相对容易。TCP三次握手DoS攻击序列号取样和猜测预防:抛弃基于地址的信任策略进行包过滤加密使用随机化初始序列号ARP欺骗实现简易:指定ARP包中的源IP、目标IP、源MAC、目标MACArp_send.c导致windows9x、NTIP冲突死机,Flooding,导致网络异常4.1.4网络嗅探共享环境下的嗅探技术原理:在以太网中是基于广播方式传送数据网卡置于混杂模式下能够接收所有经的数据工具Snifferpro、IRIS、netxraytcpdump、snoop、dsniff4.1.5拒绝服务攻击的防御策略4.1.5第一种是缩短SYNTimeout时间，由于SYNFlood攻击的效果取决于服务器上保持的SYN半连接数，这个值=SYN攻击的频度xSYNTimeout，因此经过缩短从接收到SYN报文到确定这个报文无效并丢弃改连接的时间，例如设置为20秒以下（过低的SYNTimeout设置可能会影响客户的正常访问），能够成倍的降低服务器的负荷。第二种方法是设置SYNCookie，就是给每一个请求连接的IP地址分配一个Cookie，如果短时间内连续受到某个IP的重复SYN报文，就认定是受到了攻击，以后从这个IP地址来的包会被一概丢弃。动态分析

受到攻击时在线分析TCPSYN报文的所有细节。如源地址、IP首部中的标识、TCP首部中的序列号、TTL值等，特别是TTL值，如果大量的攻击包似乎来自不同的IP可是TTL值却相同，往往能推断出攻击者与目标之间的路由器距离，至少也能够经过过滤特定TTL值的报文降低被攻击系统的负荷（在这种情况下TTL值与攻击报文不同的用户就能够恢复正常访问）

网络设备配合

专业级的抗DOS攻击产品。负载均衡

基于DNS解析的负载均衡本身就拥有对SYNFlood的免疫力，基于DNS解析的负载均衡能将用户的请求分配到不同IP的服务器主机上，SYNFlood程序有两种攻击方式，基于IP的和基于域名的，前者是攻击者自己进行域名解析并将IP地址传递给攻击程序，后者是攻击程序自动进行域名解析，可是它们有一点是相同的，就是一旦攻击开始，将不会再进行域名解析。攻击者攻击的永远只是其中一台服务器。检测DDoS攻击使用DDoS检测工具 1.使用工具能够发现攻击者植入系统的代理程序，并能够把它从系统中删除。使用ngrep监听工具。经过修改的ngrep能够监听大约五种类型的tfn2k拒绝服务攻击(targa3,SYNflood,UDPflood,ICMPflood和smurf)，它还有一个循环使用的缓存用来记录DNS和ICMP请求。如果ngrep发觉有攻击行为的话，它会将其缓存中的内容打印出来并继续记录ICMP回应请求。假如攻击者经过ping目标主机的手段来铆定攻击目标的话，在攻击过程中或之后记录ICMP的回应请求是一种捕获粗心的攻击者的方法。由于攻击者还很可能使用其它的服务来核实其攻击的效果（例如web），因此对其它的标准服务也应当有尽量详细的日志记录。2.与网络服务提供商协作 能否与上一级的网络主干服务提供商进行良好的合作是非常重要的事情。DDoS攻击对带宽的使用是非常严格的，无论使用什么方法都无法使自己的网络对它的上一级进行控制。最好能够与网络服务供应商进行协商，请求她们帮助实现路由的访问控制，以实现对带宽总量的限制以及不同的访问地址在同一时间对带宽的占有率。最好请求服务提供商帮监视网络流量，并在遭受攻击时允许访问她们的路由器。3.安装IDS和监控异常流量。 在防卫攻击方面，安装IDS能够发现是否有入侵行动正在进行，立即对入侵行动进行报警。以最快时间内对入侵做成反应。另外，也要时常监控网络流量，注意是否有异常的流量产生。4.优化对外提供服务的主机 对于潜在的有可能遭受攻击的主机也要同样进行设置保护。在服务器上禁止一切不必要的服务，打补丁，进行安全配置。另外，用防火墙对提供服务的主机进行保护，对访问量大的主机进行负载均衡。将网站分布在多个不同的物理主机上，这样每一台主机只包含了网站的一部分，防止了网站在遭受攻击时全部瘫痪。5.立即启动应付策略，尽可能快的向回追踪攻击包 如果发现攻击并非来自内部应当立即与服务提供商取得联系。由于攻击包的源地址很有可能是被攻击者伪装的，因此不必过分的相信该地址。应当迅速的判断是否遭到了拒绝服务攻击，因为在攻击停止后，只有很短的一段时间您能够向回追踪攻击包，这最好和安全公司或组织一道来追查攻击者。6.与信息安全监察部门联系 由于系统日志属于电子证据，能够被非法修改。因此一旦攻击发生，应该及时与信息安全监察部门联系，及时提供系统日志作为证据保全，以利于追查和起诉攻击者，便于日后用法律手段追回经济损失DDoS预防方法1.限制ICMP数据包出站速率Interfacexxrate-limitoutputaccess-group10225600080008000conform-actiontransmitexceed-actiondropAccess-list102permiticmpanyanyechoAccess-list102permiticmpanyanyecho-reply2.限制SYN数据包连接速率InterfacexxRete-limitinputaccess-group103800080008000conform-actiontransmitexceed-actiondropAccess-list103denytcpanyhostxx.xx.xx.xxestablishedAccess-list103permittcpanyhostxx.xx.xx.xx3.RFC1918约定过滤InterfacexxIpaccess-group101inAccess-list101denyip55anyAccess-list101denyip55anyAccess-list101denyip55anyAccess-list101permitipanyany5.系统安全设计方案绝对安全与可靠的信息系统并不存在。一个所谓的安全系统实际上应该是"使入侵者花费不可接受的时间与金钱，而且承受很高的风险才能闯入"系统。安全性的增加一般导致企业费用的增长，这些费用包括系统性能下降、系统复杂性增加、系统可用性降低和操作与维护成本增加等等。安全是一个过程而不是目的。弱点与威胁随时间变化。安全的努力依赖于许多因素，例如职员的调整、新业务应用的实施、新攻击技术与工具的导入和安全漏洞。5.1系统安全设计原则在具体进行计算机网络的安全设计、规划时，一般应遵循以下原则：1） 需求、风险、代价平衡分析的原则：对任一网络来说，绝对安全难以达到，也不一定必要。对一个网络要进行实际分析，对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析，然后制定规范和措施，确定本系统的安全策略。保护成本、被保护信息的价值必须平衡，价值仅1万元的信息如果用5万元的技术和设备去保护是一种不适当的保护。2） 综合性、整体性原则：运用系统工程的观点、方法，分析网络的安全问题，并制定具体措施。一个较好的安全措施往往是多种方法适当综合的应用结果。一个计算机网络包括个人、设备、软件、数据等环节。它们在网络安全中的地位和影响作用，只有从系统综合的整体角度去看待和分析，才可能获得有效、可行的措施。3） 一致性原则：这主要是指网络安全问题应与整个网络的工作周期（或生命周期）同时存在，制定的安全体系结构必须与网络的安全需求相一致。实际上，在网络建设之初就考虑网络安全对策，比等网络建设好后再考虑，不